Miten aloittaa tietoturvakartoitus pk-yrityksessä? Käytännön malli ensimmäisiin askeliin

Mistä tietoturvakartoitus kannattaa aloittaa, kun aikaa ja resursseja on rajallisesti?

Tietoturvakartoitus tarkoittaa käytännössä sitä, että organisaatio muodostaa todennettavan kuvan nykytilasta: mitä suojataan, miltä suojataan, miten suojaukset on toteutettu ja missä on suurimmat riskit. Pk-yrityksessä haaste ei yleensä ole kiinnostuksen puute, vaan se, että arki on täynnä tekemistä ja IT-ympäristö on kasvanut kerroksittain. Siksi kartoituksen on oltava rajattu, toistettava ja päätöksentekoa tukeva – ei monen kuukauden raporttiprojekti.

Käpy A.I. Oy:n näkökulmasta hyvä aloitus perustuu neljään käytännön kysymykseen:

  • Mikä on liiketoiminnan kannalta kriittistä? (palvelut, data, järjestelmät, prosessit)
  • Mitä uhkia vastaan suojaudutaan ensimmäisenä? (esim. kiristyshaittaohjelma, tilikaappaus, sisäiset virheet)
  • Mitkä kontrollit ovat jo olemassa? (päivitykset, valvonta, varmistukset, käyttöoikeudet)
  • Mikä on realistinen ensimmäinen parannuskierros? (toimenpiteet 30–90 päivän sisällä)

Kun kartoitus rakennetaan näin, se tuottaa nopeasti priorisoidun toimenpidelistan ja auttaa perustelemaan investoinnit. Seuraavaksi käydään läpi konkreettinen etenemismalli ja ne ratkaisut, joilla löydökset viedään hallitusti käytäntöön: Digiturvamalli (vaatimusten- ja tietoturvahallinta), Heimdal Security (päätelaitteiden suojaus, haavoittuvuuksien hallinta ja uhkien torjunta), Admin By Request (paikallisten admin-oikeuksien hallinta) sekä Veeam (varmistus ja palautus).

Vaihe 1: Rajaa kartoitus – mitä mitataan ja miksi

Pk-yritykselle toimiva tietoturvakartoitus ei ala työkalujen vertailulla vaan rajauksella. Liian laaja kartoitus jää helposti kesken tai tuottaa listan, jonka omistajuus ja aikataulu puuttuvat. Rajaus kannattaa tehdä kahdella tasolla:

  1. Kohderajaus: mitkä ympäristöt otetaan mukaan (esim. Microsoft 365, päätelaitteet, palvelimet, varmistusjärjestelmä, kriittiset SaaS-palvelut).
  2. Tavoiterajaus: mitä kartoituksella halutaan saada aikaan (esim. pienennetään ransomware-riskiä, varmistetaan palautettavuus, parannetaan käyttöoikeuksien hallintaa, saadaan raportointi johdolle).

Jos organisaatiolla ei ole vielä selkeää rakennetta, Digiturvamalli toimii käytännöllisenä kehikkona: sen avulla tietoturvan vaatimukset, vastuut ja todisteet kootaan samaan paikkaan. Tämä helpottaa myös myöhempää kehitystyötä, koska kartoitus ei jää irralliseksi dokumentiksi vaan muuttuu jatkuvaksi hallintamalliksi. Kun tavoitteet ja omistajat on kirjattu, kartoitus voidaan tehdä vaiheittain: ensin ne osa-alueet, joista toipuminen on vaikeinta tai joiden kautta hyökkäys tyypillisesti etenee.

Moni pk-yritys hyötyy siitä, että kartoitus sidotaan suoraan kahteen mittariin: RTO (kuinka nopeasti toiminta pitää palauttaa) ja RPO (kuinka paljon dataa voidaan menettää). Näiden ympärille rakentuu sekä varmistus- että suojausratkaisujen priorisointi. Käytännössä tämä tarkoittaa, että varmistaminen ja palautus (Veeam) kulkevat kartoituksessa aina rinnalla päätelaitesuojausten (Heimdal Security) ja käyttöoikeuksien hallinnan (Admin By Request) kanssa.

Vaihe 2: Inventoi kriittiset kohteet – data, identiteetit ja päätelaitteet

Kevyt inventointi riittää alkuun, kunhan se osuu oikeisiin kohtiin. Pk-yrityksen riskit keskittyvät tyypillisesti kolmeen alueeseen:

  • Identiteetit ja käyttöoikeudet: kuka pääsee mihin ja millä tasolla (erityisesti paikalliset admin-oikeudet).
  • Päätelaitteet: kannettavat, työasemat ja palvelimet – hyökkäykset alkavat usein päätelaitteesta.
  • Data ja palvelut: tiedostot, sähköposti, taloushallinto, asiakasdata, tuotannonohjaus, projektijärjestelmät.

Käytännön inventoinnin tavoite ei ole täydellinen CMDB, vaan riittävän tarkka lista siitä, mihin kannattaa kohdistaa ensimmäiset kontrollit. Tässä vaiheessa Digiturvamallilla voidaan määritellä vähintään: kriittiset järjestelmät, omistajat, pääsyvaatimukset ja minimikontrollit (esim. varmistus, lokitus, päivitysrytmi).

Erityinen huomio kannattaa kohdistaa admin-oikeuksiin. Pk-yrityksissä paikallisia järjestelmänvalvojan oikeuksia jaetaan usein “varmuuden vuoksi”, jotta työt eivät pysähdy. Tämä näkyy suoraan riskinä: jos käyttäjätili tai päätelaite vaarantuu, hyökkääjä saa laajat oikeudet liikkua ympäristössä. Admin By Request tarjoaa tähän käytännön ratkaisun: käyttäjillä ei tarvitse olla pysyviä admin-oikeuksia, vaan oikeus voidaan myöntää Just-in-Time -mallilla hallitusti, lokitetusti ja hyväksyntäprosessin kautta. Näin kartoituksessa tunnistettu riski saadaan nopeasti pienennettyä ilman, että IT alkaa käsitellä jokaisen pienen asennuksen pyyntöä käsin.

Lisälukemisena käyttöoikeuksien riskien hallintaan kannattaa katsoa myös Admin By Requestin käytännön käyttötavat ja malli, jolla paikalliset oikeudet saadaan järjestykseen.

Vaihe 3: Arvioi suojaustaso – päivitykset, haavoittuvuudet ja uhkien torjunta

Kun kriittiset kohteet on listattu, seuraava askel on selvittää, miten hyvin ympäristö kestää tyypilliset hyökkäysketjut. Pk-yrityksessä yksi tehokkaimmista tavoista pienentää riskiä on parantaa näkyvyyttä ja varmistaa, että perusasiat ovat kunnossa: päivitykset, haavoittuvuuksien hallinta ja päätelaitteiden suojaus. Tässä Heimdal Security on käytännöllinen, koska se kokoaa useita osa-alueita yhteen: haittaohjelmien torjunta, uhkien havaitseminen ja reagointi sekä haavoittuvuuksien hallinta ja päivitysten ohjaus.

Tietoturvakartoituksessa Heimdal Securityn rooli on kaksijakoinen:

  • Nykytilan läpinäkyvyys: mitä päätelaitteissa tapahtuu, missä on haavoittuvuuksia ja miten suojaus reagoi poikkeamiin.
  • Toimenpiteiden toteutus: kartoituksessa löydetyt puutteet voidaan muuttaa käytännön kontrolliksi (esim. haavoittuvuuksien korjaus ja haitallisen liikenteen esto).

Moni organisaatio ajattelee tietoturvaa “tuotteina”, mutta kartoituksessa hyödyllisempi näkökulma on “katkeavatko hyökkäysketjut?”. Esimerkiksi kiristyshaittaohjelmassa ketju voi alkaa tietojenkalastelulla, jatkua päätelaitteen hyväksikäyttöön ja päätyä varmistusten sabotointiin. Kun Heimdal Securityllä parannetaan päätelaitteiden suojausta ja havaittavuutta, Admin By Requestillä rajoitetaan oikeuksia, ja Veeamilla varmistetaan palautusketju, kartoituksen löydökset voidaan muuttaa kerroksittaiseksi suojaksi.

Heimdal Securityn kokonaisuudesta löytyy lisätietoa sivulta Heimdal Security, jossa käydään läpi eri ominaisuudet ja käyttökohteet yritysympäristössä.

Vaihe 4: Varmista palautettavuus – varmuuskopiointi, palautus ja testaus

Kartoituksen tärkein kysymys on lopulta tämä: jos kriittinen järjestelmä tai data menetetään, pystytäänkö toiminta palauttamaan hallitusti? Pelkkä varmuuskopioiden olemassaolo ei riitä, jos palautus on hidasta, epävarmaa tai jos hyökkääjä pääsee poistamaan palautuspisteet. Siksi kartoituksessa on syytä tarkistaa vähintään seuraavat:

  • Mitä varmistetaan (palvelimet, virtuaalikoneet, työkuormat, kriittiset tiedostot ja mahdolliset pilvipalvelut).
  • Kuinka usein varmistetaan suhteessa RPO-vaatimuksiin.
  • Missä varmistukset sijaitsevat ja ovatko ne eriytettyjä.
  • Onko palautus testattu (ei vain “onnistunut backup”, vaan oikea palautusharjoitus).

Veeam tarjoaa tähän käytännön ratkaisun, koska se tukee sekä varmistusta että palautusta ja antaa selkeän näkymän onnistumiseen, palautuspisteisiin ja testattavuuteen. Kun kartoituksen löydökset kirjataan Digiturvamalliin (esim. vaatimukset palautusajoille ja palautusharjoitusten tiheydelle), Veeam toimii toteuttavana kerroksena: varmistuspolitiikat, palautusprosessit ja raportointi voidaan viedä yhtenäiseksi kokonaisuudeksi.

Jos varmistukset on jo olemassa, kartoituksessa kannattaa tarkistaa myös käyttöoikeudet varmistusympäristöön. Hyökkäyksissä pyritään usein ensin saamaan korkeat oikeudet ja sen jälkeen tuhoamaan varmistukset. Tässä Admin By Requestin periaate (oikeudet vain tarpeeseen ja ajallisesti rajattuna) tukee varmistusympäristön suojaamista.

Veeamin käyttökohteista ja käytännön mallista voi lukea lisää sivulta Veeam varmuuskopiointi.

Vaihe 5: Tee löydöksistä hallittava kehityssuunnitelma (ja pidä se elävänä)

Kartoitus epäonnistuu harvoin siksi, että löydöksiä ei olisi. Se epäonnistuu siksi, että löydökset jäävät irrallisiksi: ei omistajaa, ei aikataulua, ei seurantaa. Siksi viimeinen vaihe on muuttaa nykytila-aineisto kehityssuunnitelmaksi, joka kestää arjen paineen.

Digiturvamallin vahvuus on, että se tekee tietoturvasta hallittavaa: vaatimukset, toimenpiteet, vastuut ja todisteet saadaan samaan rakenteeseen. Kun tähän liitetään toteuttavat työkalut, kehityssuunnitelma ei jää “paperiksi”:

  • Digiturvamalli: määrittelee vaatimukset, vastuut, todisteet ja raportoinnin.
  • Heimdal Security: pienentää hyökkäyspinta-alaa ja parantaa havaitsemista päätelaitteissa.
  • Admin By Request: vähentää käyttöoikeusriskiä ja tuo auditointikelpoisen jäljen korotuksista.
  • Veeam: varmistaa palautuskyvyn ja tuo mitattavuuden (onnistumiset, palautuspisteet, testit).

Kun kartoitus toistetaan esimerkiksi puolivuosittain (tai merkittävien muutosten yhteydessä), kehityssuunnitelmasta tulee jatkuva malli. Tämä on pk-yritykselle realistinen tapa rakentaa kyberresilienssiä ilman raskasta hallintabyrokratiaa.

Yleisimmät kompastuskivet aloituksessa (ja miten ne vältetään)

Seuraavat virheet toistuvat pk-yritysten tietoturvakartoituksissa – ja ne on mahdollista välttää jo ensimmäisellä kierroksella:

  • Kartoitus on liian laaja → Rajaa 30–90 päivän toteutettaviin osa-alueisiin ja lisää laajuutta vasta, kun malli toimii.
  • Löydökset eivät muutu toimenpiteiksi → Kirjaa omistaja ja aikataulu jokaiselle asialle Digiturvamalliin.
  • Painopiste on vain ennaltaehkäisyssä → Ota palautettavuus (Veeam) mukaan alusta asti, koska se ratkaisee häiriötilanteessa.
  • Liikaa pysyviä oikeuksia → Rajoita admin-oikeudet ja ota käyttöön hallittu korotusmalli (Admin By Request).
  • “Meillä on virustorjunta” -ajattelu → Varmista näkyvyys, haavoittuvuuksien hallinta ja reagointikyky (Heimdal Security).

Jos tavoitteena on rakentaa pk-yritykselle realistinen ja toistettava malli, kannattaa tutustua myös Digiturvamalliin ja siihen, miten vaatimustenhallinta ja todisteet saadaan järjestykseen ilman raskasta konsulttivetoista projektia.

CTA: Aloitetaanko kartoitus niin, että löydökset muuttuvat käytännön parannuksiksi?

Jos tietoturvakartoitus on ajankohtainen, seuraava järkevä askel on käydä läpi ympäristön kriittiset kohteet, riskit ja nopeimmat parannukset. Käpy A.I. Oy auttaa rakentamaan kartoituksen, joka tuottaa selkeän toimenpidesuunnitelman ja joka voidaan viedä suoraan käytäntöön Digiturvamallilla, Heimdal Securityllä, Admin By Requestillä ja Veeamilla.

Ota yhteyttä ja sovitaan lyhyt aloituspalaveri: määritellään rajaus, tavoite ja ensimmäinen 30–90 päivän parannuskierros.

Päivitetty: 2026-05-21T22:00:49.111-04:00

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma